Riduzione del costo e complessità della gestione delle vulnerabilità Web

Transcript

1 WHITE PAPER: Riduzione del costo e complessità della gestione delle vulnerabilità Web White paper Riduzione del costo e complessità della gestione delle vulnerabilità Web

2 Riduzione del costo e complessità della gestione delle vulnerabilità Web Indice generale L'esigenza di valutazioni delle vulnerabilità Web più semplici 3 Vulnerabilità prive di patch compromettono la sicurezza dei siti Web nuove vulnerabilità % di aumento negli attacchi Web Le soluzioni tradizionali sono costose e complicate 4 Semplificazione della rilevazione delle vulnerabilità Web: un approccio gestito 4 Valutazione delle vulnerabilità dei siti Web in breve Valutazioni delle vulnerabilità dei siti Web e scansione malware Configurazione del Vulnerability Assessment Service Scansione delle vulnerabilità Analisi dei report della valutazione delle vulnerabilità Conclusioni 7 Glossario 8 Crimeware Scripting tra siti (XSS) Furto di identità SQL Injection Vulnerabilità

3 L'esigenza di valutazioni delle vulnerabilità Web più semplici Nel giugno 2010, un gruppo di hacker è riuscito a sfruttare un punto debole nel sistema di sicurezza di un sito di AT&T ottenendo così gli indirizzi di di oltre clienti di ipad Apple 1, tra cui quelli di funzionari nei settori delle istituzioni, finanza, mezzi di comunicazione, tecnologia ed esercito 2. Purtroppo, eventi come questo sono piuttosto frequenti. Nel 2010 il volume degli attacchi basati sul Web è aumentato del 93%, rivelando una media di identità per ciascun caso di violazione della sicurezza dei dati verificatosi nel corso dell'anno per mano di hacking 3. In un recente studio 4 condotto dal Ponemon Institute, il 90% degli intervistati ha indicato di avere subito due o più violazioni nel corso dei 12 mesi precedenti, mentre quasi due terzi ha rivelato di averne subite parecchie nel corso dello stesso periodo. Queste violazioni possono risultare estremamente costose. Lo studio dimostra che il costo medio per incidente di una violazione dei dati negli Stati Uniti è di 7,2 milioni di dollari, toccando punte di 35,3 milioni di dollari 5 in alcuni dei casi peggiori. Gli errori nella sicurezza che coinvolgono informazioni personali possono inoltre minare la fiducia dei clienti: più della metà degli utenti Internet evita di acquistare online 6 perché teme il furto delle proprie informazioni finanziarie. Con rischi così elevati, le organizzazioni devono focalizzare il proprio impegno nella sicurezza per prevenire queste e altre violazioni. Vulnerabilità prive di patch compromettono la sicurezza dei siti Web nuove vulnerabilità Symantec ha registrato più vulnerabilità nel 2010 che in qualsiasi anno precedente dall'inizio della pubblicazione di questo report. Non solo, i nuovi produttori colpiti da una vulnerabilità sono passati a 1.914, con un aumento del 161% rispetto all'anno precedente. 93% di aumento negli attacchi Web Una crescente proliferazione dei toolkit di attacco Web ha favorito nel 2010 un aumento del 93% nel volume degli attacchi basati sul Web rispetto a quelli osservati nel Pare che anche gli URL abbreviati abbiano svolto un ruolo di rilievo in questo fenomeno. Nell'arco di un trimestre preso in esame nel 2010, il 65% degli URL nocivi osservati sui social network era costituito da URL abbreviati. Esiste un numero praticamente illimitato di metodi che hacker e criminali informatici utilizzano per compromettere l'integrità, la disponibilità e la riservatezza di informazioni o servizi. Molti attacchi approfittano di difetti comunemente presenti nel software che creano punti deboli nel sistema di sicurezza generale del computer o della rete, altri invece sfruttano le vulnerabilità create da configurazioni errate del computer o della sicurezza. Esistono letteralmente decine di migliaia di vulnerabilità note: solo nel 2010 Symantec ne ha registrate ben nuove 7, più che in qualsiasi anno di rilevazione precedente. Per la maggior parte del tempo, gli sviluppatori di software sono impegnati a correggere rapidamente le vulnerabilità che vengono scoperte per rilasciare aggiornamenti dei prodotti e patch della sicurezza. Tuttavia, non sempre le organizzazioni hanno a disposizione le risorse o la forza lavoro necessarie per tenere il passo degli hacker alla continua ricerca di metodi più semplici per introdursi nel maggior numero possibile di siti Web allo scopo di raccogliere dati sensibili o installare codice nocivo. 1 CNET News: AT&T Hacker Indicted, Report Says. 7 luglio CNET News: AT&T Web Site Exposes Data of 114,000 ipad Users. 10 giugno html 3 Symantec: Internet Security Threat Report, Volume 16. marzo Ponemon Institute: Perceptions About Network Security. giugno ponemon-perceptions-network-security.pdf 5 Ponemon Institute and Symantec: 2010 Annual Study: U.S. Cost of a Data Breach. marzo Javelin Strategy and Research: 2011 Identity Fraud Survey Report. March Symantec: Internet Security Threat Report, Volume 16. marzo / 3

4 Gli attacchi più pericolosi sono quelli che possono essere automatizzati, come quelli di tipo SQL injection, che vengono utilizzati dagli hacker per ottenere l'accesso ai database, e lo scripting tra siti che consente di aggiungere codice a un sito Web per eseguire attività specifiche. Questi metodi possono fornire agli aggressori il controllo sull'applicazione Web e una facile accesso a server, database e altre risorse IT. Una volta ottenuto l'accesso a tali risorse, essi sono in grado di compromettere numeri di carta di credito dei clienti e altre informazioni riservate. Symantec ha registrato oltre 3 miliardi di attacchi di malware nel 2010, con un aumento del volume di quasi il 90% rispetto al Una parte di questo aumento può essere attribuita alla diffusione degli script automatizzati e ai toolkit di attacco Web. Questi kit sono generalmente costituiti da codice nocivo già scritto per sfruttare vulnerabilità e facilitare il lancio di attacchi su larga scala finalizzati al furto di identità e ad altri scopi simili. Le soluzioni tradizionali sono costose e complicate L'aumento dei rischi di attacchi Web e violazioni dei dati rende sempre più difficile la gestione delle vulnerabilità. Molte soluzioni tradizionali sono progettate per le organizzazioni delle grandi aziende che devono attenersi a rigidi requisiti di conformità come il Payment Card Industry (PCI) Data Security Standard. Queste soluzioni sono calibrate in modo ottimale per rilevare un numero prestabilito di minacce e possono generare volumi di dati non necessari su vulnerabilità di importanza secondaria, oscurando misure di sicurezza fondamentali che dovrebbero essere adottate immediatamente. Come si può intuire, quasi la metà delle organizzazioni intervistate dal Ponemon Institute indica la complessità e l'accesso limitato alle risorse IT come le maggiori difficoltà nell'implementazione di soluzioni per la sicurezza di rete, e il 76% è a favore della razionalizzazione e semplificazione delle funzioni di sicurezza della rete. Semplificazione della rilevazione delle vulnerabilità Web: un approccio gestito Per far fronte agli hacker, alle organizzazioni serve una soluzione agile che le aiuti a identificare in modo semplice e rapido le vulnerabilità più critiche sui propri siti Web. Symantec offre una semplice valutazione delle vulnerabilità basata sul cloud per aiutare a identificare e correggere rapidamente i punti deboli più facili da sfruttare nei vostri siti Web. Valutazione delle vulnerabilità dei siti Web in breve Le valutazioni delle vulnerabilità Symantec aiutano a identificare rapidamente i punti deboli che possono essere sfruttati nel tuo sito Web. Gratuita con l'acquisto di certificati Symantec Premium, Pro e SSL Extended Validation (EV), questa valutazione integra la protezione esistente con: Una scansione automatica settimanale delle vulnerabilità sulle pagine Web destinate al pubblico, nelle applicazioni Web, nel software del server e nelle porte di rete. Un report operativo che identifica le vulnerabilità critiche che devono essere esaminate immediatamente e gli elementi che pongono un rischio minore. Un'opzione per ripetere la scansione del sito Web allo scopo di verificare che le vulnerabilità sono state corrette. Valutazioni delle vulnerabilità dei siti Web e scansione malware La valutazione delle vulnerabilità dei siti Web esegue una scansione dei punti di ingresso e documenta il potenziale di violazioni della sicurezza. La scansione malware cerca di individuare software dannoso già presente sul sito e nella rete. Se nel vostro sito è presente del malware, significa probabilmente che un punto di ingresso è già stato violato. La riparazione delle vulnerabilità nel sito contribuisce a impedire potenziali violazioni, compreso il malware. 4

5 Se utilizzate in combinazione con il certificato SSL Symantec e la scansione antimalware giornaliera del sito Web, la valutazione delle vulnerabilità aiuta a difendere il vostro sito Web e proteggere i clienti. Configurazione del Vulnerability Assessment Service I clienti esistenti, in fase di rinnovo o nuovi possono attivare il servizio di valutazione delle vulnerabilità come opzione dalla console di gestione di Symantec Trust Center, Symantec Trust Center Enterprise o Managed PKI per SSL*. Questo servizio inizierà dallo stesso nome di dominio completo (FQDN, Fully Qualified Domain Name) che viene utilizzato come nome comune del certificato SSL associato. Nel caso vengano protetti più domini con certificati SSL, è possibile attivare le valutazioni delle vulnerabilità per ciascuno dalla console di gestione. *Le opzioni di configurazione e avviso variano a seconda della console di gestione utilizzata Scansione delle vulnerabilità La valutazione delle vulnerabilità esamina i punti di ingresso utilizzati con maggiore frequenza per sferrare gli attacchi più comuni. Una volta attivata, la prima scansione delle vulnerabilità inizierà nel giro di 24 ore. Successivamente, il sito viene sottoposto a scansione con cadenza settimanale ed è possibile chiedere una ripetizione della scansione in qualsiasi momento. La valutazione delle vulnerabilità esamina tutte le porte di rete generalmente utilizzate, più di in totale. La scansione rileva i tipi di vulnerabilità più comuni, tra cui software non aggiornato o privo di patch, scripting tra siti (XSS), SQL injection e backdoor, e viene aggiornata spesso non appena vengono scoperte nuove vulnerabilità. 5

6 Tabella 1. Dettagli sulle attività di scansione della valutazione delle vulnerabilità Area Livello di rete Software del server Web Software SMTP Servizi Telnet Servizi SSH Servizi FTP Framework Web Vulnerabilità delle applicazioni Web Potenziali problemi di utilizzo dei certificati SSL Trasmissione di dati non crittografata Esempi di elementi esaminati Scansione di base delle porte e analisi dei dati per individuare in modo non intrusivo potenziali vulnerabilità. Server HTTP Apache (e plug-in più diffusi) Microsoft IIS Tomcat JBoss Sendmail Postfix Microsoft Exchange Server Sistemi Unix OpenSSH Software SSH.com Daemon FTP più diffusi Microsoft ASP.NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP.NET, J2EE/JSP Sistemi CMS più diffusi (WordPress, Django, Joomla, Drupal, ecc.) Applicazioni di e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart, ecc.) Software per la gestione Web (phpmyadmin) Software per forum Applicazioni di rilevazione pubblicità/statistiche Vulnerabilità di scripting tra siti di riflesso Vulnerabilità SQL injection di base Certificato SSL non affidabile (firmato da autorità di certificazione sconosciuta) Controllo dei certificati autofirmati Discrepanza nel nome comune del certificato Utilizzo di cifrature deboli Certificati scaduti o revocati Pagine di accesso con invii di moduli di destinazione non SSL Se una valutazione rileva una vulnerabilità e si interviene per porre rimedio al problema, successivamente è possibile chiedere una ripetizione della scansione in modo da verificare che alla vulnerabilità sia stata applicata la patch appropriata. 6

7 Analisi dei report della valutazione delle vulnerabilità Dopo che la valutazione delle vulnerabilità è stata completata, è possibile generare un report completo sulle vulnerabilità del sito Web in formato PDF dalla console di gestione di Symantec Trust Center, Symantec Trust Center Enterprise o Managed PKI per SSL. Se la scansione rileva vulnerabilità critiche, genera anche un avviso sulla console. Ogni report contiene dati operativi per consentire al personale IT di indagare sui problemi e segnalarli con chiarezza al management. Il report evidenzia le vulnerabilità critiche, con informazioni su ciascun rischio, compresa la gravità, la minaccia associata e l'impatto potenziale. Il report descrive inoltre le azioni correttive che sarà necessario adottare per rimediare ciascun problema. Conclusioni Hacker e criminali informatici stanno affinando continuamente i propri attacchi e bersagli: per affrontarli adeguatamente sono necessari strumenti agili. L'utilizzo della valutazione delle vulnerabilità automatizzata per identificare e correggere i punti deboli che possono essere sfruttati consente di ridurre il rischio che gli hacker individuino il vostro sito e lo attacchino. Le valutazioni delle vulnerabilità Symantec aiutano a ridurre il costo e la complessità della gestione delle vulnerabilità per mezzo di scansioni automatizzate, report operativi e un'architettura basata sul cloud che non richiede software da installare o mantenere. La soluzione costituisce un ottimo punto di partenza per le organizzazioni che vogliono valutare rapidamente la portata delle vulnerabilità presenti sul proprio sito. Le valutazioni delle vulnerabilità dei siti Web sono inoltre ideali per le organizzazioni che utilizzano già una soluzione per la scansione delle vulnerabilità come quelle legate alla conformità PCI e hanno l'esigenza di una soluzione complementare per effettuare controlli incrociati dei risultati come ulteriore livello di sicurezza. Se utilizzate in combinazione con il certificato SSL Symantec e la scansione antimalware giornaliera del sito Web, le valutazioni delle vulnerabilità aiutano a difendere il vostro sito Web e proteggere i clienti. 7

8 Glossario Crimeware Il crimeware è software che viene utilizzato per commettere atti criminali. Analogamente al crimine informatico, il termine crimeware comprende un'ampia gamma di programmi nocivi o potenzialmente nocivi. Scripting tra siti (XSS) Attacchi che consentono agli intrusi di introdurre script non autorizzati che sono in grado di aggirare le barriere di sicurezza dei browser. Furto di identità Il furto di identità è l'atto di rubare informazioni personali per assumere l'identità della vittima al fine di commettere frodi o altri crimini. SQL Injection Tipo di attacco basato sul Web che consente a estranei di impartire comandi SQL non autorizzati tramite codice non protetto in una parte di un sito che è connessa a Internet. Tramite questi comandi SQL non autorizzati, è possibile accedere alle informazioni riservate presenti in un database oltre che ai computer host dell'organizzazione. Vulnerabilità Una vulnerabilità è uno stato in uno o più sistemi informatici che consente a un aggressore di eseguire comandi come se fosse un altro utente, di accedere senza autorizzazione a dati sottoposti a limitazioni di accesso, di fingersi qualcun altro o di sferrare un attacco di tipo Denial of Service. 8

9 Ulteriori informazioni Visita il nostro sito Web Altre informazioni Per ulteriori informazioni sui certificati Symantec SSL, è possibile chiamare il numero o inviare un all indirizzo: talk2us-ch@symantec.com Per parlare con uno specialista dei prodotti telefona al numero Informazioni su Symantec Symantec è leader globale nelle soluzioni per la sicurezza, lo storage e la gestione dei sistemi con l'obiettivo di aiutare privati e organizzazioni a proteggere e gestire le proprie informazioni. La nostra offerta di software e servizi consente la protezione da più rischi in più punti, con maggiore completezza ed efficienza, garantendo la sicurezza delle informazioni ovunque vengano utilizzate o archiviate. Symantec SRL Via Rivoltana, 2/d Segrate (MI) Symantec Corporation. Tutti i diritti riservati. Symantec, il logo Symantec, il logo con un segno di spunta e il logo Norton Secured sono marchi o marchi registrati di Symantec Corporation o delle sue affiliate negli Stati Uniti e in altri paesi. Altri nomi possono essere marchi dei rispettivi proprietari.